SNMPv3 凭证(设置菜单 > 库> 凭据 [SNMP v3])存储用 WhatsUp Gold 监控启用 SNMPv3 的设备所需的信息。

适当的凭据允许您利用基于 SNMP 的监控器(WhatsUp Gold主动监控器,如 SNMP Extended性能监控器等)来管理和监控由 SNMPv3 基于视图的访问控制管理的目标设备。

将 SNMPv3 凭据添加到凭据库中后,您可以…

  • 将其添加到 WhatsUp Gold 应作为发现扫描的一部分尝试的凭据列表。
  • 通过“设备属性”将其直接关联到“我的网络”中的“WhatsUp Gold 管理的设备”。
  • 使用 VLAN 模式匹配来定义它,以从 VLAN 表中查询详细信息,而无需特定的上下文名称或其他代理或协议(如 CDP/LLDP)。

入门

在使用 SNMPv3 从 WhatsUp Gold 进行监控之前,请确保目标设备…

  • 在物理设备上)配置为使用 SNMPv3。设备需要运行 SNMPv3 代理以及默认或自定义的 SNMP 引擎 ID。
  • 定义 SNMPv3 用户(在物理设备上),可以访问相应的 SNMPv3 组和视图。
  • 具有唯一每 VLAN 上下文,且与设备上为支持 VLAN 特定上下文的设备定义的任何 VLAN 关联。(更多相关内容,见本主题后面。)
  • 在 WhatsUp Gold 中与相应的 SNMPv3 凭据相关联。在“我的网络”中选择设备时,设备卡将显示此关联。
提示: 对于支持读取每一个带有特定 VLAN 上下文的 VLAN的 BRIDGE-MIB 的设备,正确配置这些设备和 WUG 将减少启用 CDP/LLDP 获取足够信息来计算设备连接的必要性。如需更多信息,请参考 VLAN 模式控制和本话题下文的示例。

与 SNMPv2 的差异

SNMPv2 不同,SNMPv3 采用基于视图的访问控制模型(VACM)。这意味着 WhatsUp Gold SNMPv3 监控器要求受管设备上有授权用户和特权用户。您在 SNMPv3 凭据对话框中指定的 SNMPv3 用户用户名)表示已在设备上拥有或需要权限、以根据您的站点要求访问特定 MIB 资源的用户。

使用用户身份验证(身份验证协议)和有效负载加密(加密协议)来管理 MIB 对象是可选做法,但也是最佳做法。通过在目标设备上利用 SNMPv3 授权服务和限定范围的资源访问(在某种形式的 MIB 对象视图中),这些功能组合在一起可提供 SNMPv3 的全部功能。

注: 所有对设备的 MIB (即包含用于计算连接的转发信息的 BRIDGE-MIB)中特定 VLAN 信息的访问都需要 SNMPv3 用户或群组访问为每一个 VLAN 配置的唯一上下文。SNMPv3 上下文提供对对象集合的访问,它们是在目标设备上轮询 VLAN 信息所必需的。(相比之下,SNMPv1/2 使用社区名称索引(SNMPv3 不可使用)访问特定的 VLAN 信息。)
提示: 仅对于监控而言,最佳做法是在目标 MIB 对象上具有读取通知许可的 WhatsUp Gold 凭据中利用 SNMPv3 用户。对于维护 VLAN 表,需要为与每个 VLAN 特定上下文配置写入权限,并且您的用户需要能够访问此上下文。

SNMPv3 凭据配置对话框

配置下列字段来创建 SNMPv3 凭据:

  • 名称。输入凭据的唯一名称。此名称会显示在“凭据数据库”中。
  • 描述。(可选)输入凭据的其他相关信息。这段信息会显示在“凭据数据库”中该凭据的旁边。
  • 用户名。输入目标设备上运行的 SNMP 代理已知访问权限的用户名。每个 SNMP 数据包的身份验证标头中,都包含此用户名。SNMP 设备收到数据包时,使用此用户名来寻找已配置的身份验证和加密参数,并将这些参数应用到接收的消息。
  • 上下文。(可选)如果需要此功能,并且知道目标设备上定义的 SNMPv3 上下文名称,请在此处输入相应的 SNMPv3 上下文名称。您在此处输入的值表示主要上下文。可以在设备上定义上下文以限制对 MIB 对象集合的访问。空值(“”)(也称为“默认上下文”)表示未由显式(命名)上下文定义定义的任何 MIB 均可访问。
    注: 如果使用访问特定 VLAN 表(即 BRIDGE-MIB)的上下文,请指定一个或多个 VLAN 模式条目。
  • VLAN 模式。(用于匹配一个或多个活动的 BRIDGE-MIB 上下文视图。)

    该控制使您能够指定访问特定 VLAN 表格的上下文。决定特定 VLAN 使用的上下文时,WhatsUp Gold 按 顺序尝试每种模式,以发现 第一个允许访问 匹配 VLAN 的 VLAN 特定信息。请参阅下面的 VLAN 模式匹配语法和范例。

    重要: 默认上下文(“”)或主上下文(如指定)必须包括对 VLAN 表的访问权,以便 WhatsUp Gold 在尝试验证此凭据的有效性时要知道查询的 VLAN(例如成功读取来自路由表的内容)。
  • 身份验证。必要时,请选择此 SNMP 凭据的身份验证协议。
    • 协议。选择用于验证 SNMPv3 数据包的算法。MD5 创建 128 位的数字签名,SHA-1 创建 160 位的数字签名,并且 SHA-256 创建 256 位数字签名。
    • 密码。输入身份验证密码。
    • 确认密码。重新输入身份验证密码以供确认。
  • 加密。若系统支持加密,且为 SNMPv3 设备选择了身份验证协议,请选择 SNMP 凭据的加密协议。
    • 协议。选择用于验证 SNMPv3 数据包的算法。DES56 使用 56 位加密方案,AES-128 使用 128 位的加密方案,AES-192 使用 192 位加密方案,AES-256 使用 256 位加密方案。也可以选择三重 DES 加密。
    • 密码。输入用于密钥的加密密码。
    • 确认密码。重新输入身份验证密码以供确认。
注: SNMPv3 密码最多 64 个字符。

VLAN 模式匹配语法和范例

您可以使用以下一种或多种方法匹配活跃 VLAN 上下文:

模式前缀和替换。如果您知道上下文名称(但不知道 VLAN 名称/索引),则很有用:

例 1: MyVLanContext-{index}

- {index}使用从设备已知的 VLAN 列表中读取的VLAN 索引(迭代)替换。

例 2: VLANContext-{name}

- {name}使用从设备已知的 VLAN 列表中读取的VLAN 名称(迭代)替换。

文字 VLAN 名称/索引和上下文对(无替换)。如果您拥有要为上下文和 VLAN 名称尝试的显式值,则非常有用。

语法:<name> :< context>

例 3: VLAN0065:bridge1

— 其中 VLAN0065 是设备已知的 VLAN,bridge1 是为门控访问 VLAN0065 MIB 值而定义的可能上下文。

语法:<number> :< context>

例 4: 65:bridge1

— 其中 65 是设备已知的 VLAN 编号,bridge1 是为门控访问特定于 VLAN 的 MIB 值而定义的可能上下文。

(读取与设备 VLAN 表关联的 BRIDGE-MIB 对象的内容需要上下文。)

提示: 上下文可以与 VLAN/BRIDGE-MIB 对象之外的 MIB 相关联,但是当与 BRIDGE-MIB 相关联时,它们具有一对一的关系。

VLAN 模式匹配最佳做法

使用模式匹配或替换 VLAN 模式时,需要考虑以下重要事项:

  • 使用易于记忆的上下文名称前缀。例如 vlan-10(其中 10 是 VLAN 索引)。
  • 如果您的 VLAN 上下文没有简单的模式,您可以指定特定(更多文字)模式以实现完全匹配。
  • 您可以在设备上勾选 VLAN 上下文名称(例如,#显示 snmp 上下文——来自支持的 Cisco 交换机)。